La vulnerabilidad encontrada en Log4j está afectando a miles de empresas entre ellas Apple, Amazon, Twitter, Adobe… Para entender con más detalle, la enorme magnitud de este agujero de seguridad, antes debemos comprender algunos conceptos.
¿Qué es Log4j?
Log4j es una biblioteca de Java código libre, utilizada por Apache, que posibilidad a los programadores escribir mensajes, dejando constancia de una transacción en tiempo de ejecución. Normalmente tiene 6 tipo de mensaje en función de su nivel de prioridad.
–OFF: nivel mínimo su función es desactivar todos los mensajes o logs.
–FATAL: son mensajes críticos del sistema, normalmente después de guardar el mensaje el programa finaliza de forma inmediata.
–ERROR: se guardan mensajes de error, producidos por eventos o acciones realizadas en la ejecución de programa, pero permiten continuar con su ejecución.
–WARM: para mensajes de alerta, que nos ayudan a guardar o dejar constancia de ciertos eventos o acciones que se producen durante la ejecución del programa.
-INFO: como su propio nombre indica se utiliza para mensajes de información, son muy similares al modo “Verbose”
–DEBUG: se trata de uno de los mensajes más utilizados en programación, los programadores lo utilizamos contantemente para comprobar valores de variable, comprobar si un bucle se realiza el número de veces necesario. Es muy importante que NO este activo cuando la aplicación ya se encuentra en producción, es un fallo muy habitual en algunas aplicaciones que sin previo aviso al usuario se le muestren los mensajes destinados al programador.
–TRACE: son mensajes que acompañan al modo DEBUG, con el objetivo de dar un nivel más de detalle al equipo de programadores.
–ALL: cuando este modo está activo, se activa el nivel máximo de detalle, haciendo que todos los Log estén activos para su visualización.
Si quieres ampliar aún más la información acerca de está biblioteca puedes hacerlo en este enlace o en la página de oficial de apache aquí.
¿Cuál es la vulnerabilidad que afecta a miles de empresas en relación a está librería?
Esta vulnerabilidad se conoce como “Log4Shell” o “LogJam” detectada el 24 de noviembre de 2021 por investigadores independientes expertos en seguridad, que analizaron APACHE Fundación.
No parece una gran vulnerabilidad al tratarse de simples mensajes que los programadores crean para aportar información en las ejecuciones de los programas. Si así fuera, como es posible que miles de empresas y servicios se hayan visto afectados como Cloudflare, Minecraft , iCloud, Steam, Twitter… puedes consultar la extensa lista de afectados en este repositorio github.
El problema va mucho más allá, “Log4Shell” permite la ejecución de código malicioso de forma remota a través de Log4j. Muchos de los sitios web y programas utilizan está librería de Apache, por esa razón de ha catalogado está vulneravilidad como de tipo zero-day atack y según la Fundación de Apache como de máxima nivel de seguridad CVSS con nivel 10 Crítica.
¿Te gustaría saber como detectar y solucionar estás vulnerabilidades? Te contamos como hacerlo en el curso oficial de Certified Ethical Hacker (CEH) por EC-COUNCIL. Una de las certificaciones más demandadas en el sector de seguridad.
En este momento cientos de HOSTS, están escaneando a las empresas buscando está vulnerabilidad para la ejecución de código malicioso. Los expertos en seguridad llevan semanas trabajando para mitigar los efectos de está vulnerabilidad en sus servidores.
¿Cómo solucionar o prevenir los ataques “Log4Shell” ?
Como siempre te indicamos, desde CAS Training, lo mejor es contratar a expertos certificados EC-COUNCIL en seguridad para solucionar y protegerse de este tipo de vulnerabilidades de seguridad.
Las empresas para solucionar este error, están actualizando sus sistemas a través de actualizaciones y parches en relación Log4j. Puedes encontrar los parches publicados en la página oficial de apache en este enlace y también en la página de INCIBE puedes encontrar actualizaciones e información para solucionar el problema.
Certifícate como profesional de seguridad con el curso oficial de Certified Ethical Hacker (CEH) por EC-COUNCIL.